Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→Exploit.Win32.Pidief.cfz

Exploit.Win32.Pidief.cfz

Время детектирования	09 окт 2009 22:38 MSK
Время выпуска обновления	10 окт 2009 04:13 MSK
Описание опубликовано	29 сен 2010 17:31 MSK

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Программа-эксплоит, которая без ведома пользователя загружает из сети Интернет другие вредоносные программы и запускает их на выполнение. Является PDF документом содержащим сценарии языка Java Script. Имеет размер 7712 байт.

Деструктивная активность

Вредоносный PDF документ, содержащий в себе обфусцированный сценарий Java Script. Для выполнения вредоносного кода эсплоит использует уязвимости, которые существуют при вызове функций Collab.collectEmailInfo() (CVE-2007-5659), Collab.GetIcon() (CVE-2009-0927) и util.printf() (CVE-2008-2992), в продуктах Adobe Reader и Adobe Acrobat версий 9.1, 8.1.2 и более ранних. При успешной эксплуатации уязвимости, вредонос загружает файл по ссылкам:

http://ko**n.cn/dgpw2.exe
http://ko***n.cn/dilnor2.exe
http://ko***n.cn/mnuz2.exe

На момент создания описания ссылки не работали.

При успешной загрузке скачанный файл сохраняется под именем:

%Temporary Internet Files%\a.exe

После чего запускается на выполнение и эксплоит завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

Удалить оригинальный файл эксплоита (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Очистить каталог Temporary Internet Files, который может содержать инфицированные файлы (Как удалить инфицированные файлы в папке Temporary Internet Files?):
```
%Temporary Internet Files%
```
В случае использования продуктов Adobe Reader или Adobe Acrobat, выполнить обновление приложений до актуального состояния.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Троянские программы

Exploit

Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью.

Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя.

Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.

Другие модификации

Exploit.Win32.Pidief.asz

Exploit.Win32.Pidief.cjn

Exploit.Win32.Pidief.cjr

Exploit.Win32.Pidief.csq

Exploit.Win32.Pidief.csr

Exploit.Win32.Pidief.cto

Exploit.Win32.Pidief.cvl

Exploit.Win32.Pidief.ddl

Exploit.Win32.Pidief.ddn

Другие названия

Exploit.Win32.Pidief.cfz («Лаборатория Касперского») также известен как:

Trojan: Exploit-PDF.ac (McAfee)
Mal/PDFJs-P (Sophos)
Exploit:Win32/Pdfjsc.CG (MS(OneCare))
Exploit.PDF.1975 (DrWeb)
PDF/Exploit.Gen trojan (Nod32)
Exploit.Pdfka.Gen.3 (VirusBuster)
JS:Pdfka-RV [Expl] (AVAST)
Exploit.JS.Pdfka (Ikarus)
Exploit_c.DTB (AVG)
JS/Shellcode.D (Norman)
Exploit.Win32.Pidief.cfz [AVP] (FSecure)
TROJ_PIDIEF.SMB (TrendMicro)
Exploit.PDF-JS.Gen (v) (Sunbelt)
Exploit.Pdfka.Gen.3 (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

securelist.com